tema 5: redes virtuales · redes virtuales 2 tema 5: redes virtuales 5.1 seguridad en redes 5.1.1...

Redes virtuales 1

Tema 5: Redes Virtuales

5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 Sistema mixto

5.2 Redes privadas virtuales 5.2.1 Introducción 5.2.2 PPTP 5.2.3 L2TP 5.2.4 IPsec 5.2.5 SSL

5.3 Redes de área local virtual

Redes virtuales 2


5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 sistema mixto



Redes virtuales 3

IntroducciónCanal seguro: Propiedades:

Confidencialidad Integridad Autenticidad (autenticación) No repudio

Emisor Receptor

Canal seguro?

Redes virtuales 4

IntroducciónConfidencialidad: La información transmitida por el canal inseguro

sólo podrá ser interpretada por elementos destinatarios acreditados

Debe permanecer ininteligible para el resto Formas de protección:

Líneas física dedicadas Alto costeDifícil mantenimiento

Cifrado Ejemplo: obtención de datos del emisor

Redes virtuales 5

IntroducciónIntegridad: Asegura que la información transmitida no haya

sido modificada durante su transcurso El mensaje en el destino debe ser el mismo que

el mensaje en el origen Formas de protección:

Firmas digitales Ejemplo: modificación de la dirección de envío

de un producto comprado por Internet

Redes virtuales 6

IntroducciónAutenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección:

Firmas digitales Desafío Autenticación humana

Biométrica (huella dactilar, retina, reconocimiento facial, etc.) Ejemplo: suplantación de usuario en transacción

bancaria

Redes virtuales 7

IntroducciónNo repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un

receptor Formas de protección:

Firmas digitales Ejemplo: pérdida de solicitud en proceso

administrativo

Redes virtuales 8

IntroducciónCanal inseguro: Poco fiable Ataques: Violación de seguridad del canal.

TiposPasivos Activos

CategoríasInterceptaciónInterrupciónModificaciónFabricación

Redes virtuales 9

IntroducciónAtaques pasivos: El intruso no altera el contenido de la información

transmitida Objetivos:

Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual

Dificultad de detección Fácil de evitar -> cifrado

Redes virtuales 10

IntroducciónAtaques activos: Implican alteración del contenido de la información

transmitida Tipos:

Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido posteriormente) Modificación del mensaje Denegación del servicio

Dificultad de prevención Fácil de detectar -> detección y recuperación

Redes virtuales 11

IntroducciónInterceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no

compartido Ejemplos:

Captura de tráfico de red Copia ilícita de archivos o programas

Emisor Receptor

Intruso

Redes virtuales 12

IntroducciónInterrupción: Destrucción de un recurso compartido Activo Ejemplos:

Destrucción de hardware Corte de línea de comunicación

Emisor Receptor

Intruso

Redes virtuales 13

IntroducciónModificación: Un recurso no compartido es interceptado y manipulado por un

elemento no autorizado antes de llegar al destino final Activo Ejemplos:

Alteración de los datos enviados a través de una red

Emisor Receptor

Intruso

Redes virtuales 14

IntroducciónFabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que llega al

destinatario Ejemplos:

Introducción de información fraudulenta

Emisor Receptor

Intruso

Redes virtuales 15





Redes virtuales 16

CriptografíaIntroducción: ¿Por qué?

Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales)

Definición Ciencia de la escritura secreta, destinada a ocultar la

información con el objetivo de que no pueda ser interpretada por otras personas

Principio Mantener la privacidad de la comunicación entre dos o

más elementos

Redes virtuales 17

CriptografíaIntroducción: Base de funcionamiento

Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario

Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Cifrado de César con K=3

Redes virtuales 18

CriptografíaCifrado: Procedimiento que

convierte un mensaje en claro en otro incomprensible

El algoritmo de cifrado requiere una clave

Descifrado: Procedimiento que

convierte un mensaje incomprensible en el mensaje original

Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada

Redes virtuales 19

Criptografía

Introducción: Esquema de funcionamiento

Emisor Receptor

cifrado descifrado

Redes virtuales 20





Redes virtuales 21

CriptoanálisisIntroducción: Definición

Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes

Objetivo Desvelar el secreto de la correspondencia

Ataques Ataque de fuerza bruta (más común) Tipos:

Ataque de sólo texto cifradoAtaque de texto claro conocidoAtaque de texto claro seleccionado

Redes virtuales 22





Redes virtuales 23

Clave simétricaCaracterísticas: Clave privada Emisor y receptor comparten la misma clave

Emisor Receptor

cifrado descifrado

Redes virtuales 24

Clave simétricaAlgoritmos: DES, 3DES, RC5, IDEA, AES Requisitos:

Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave

Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída

Fortaleza del algoritmo: Complejidad interna Longitud de la clave

Redes virtuales 25

Clave simétrica

Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio

Dependerá del número de participantes que compartan la clave secreta

Redes virtuales 26

Clave simétricaVentajas: Velocidad de ejecución de algoritmos

Mejor método para cifrar grandes cantidades de información

Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves

Número de claves usadas es proporcional al número de canales seguros empleados

Redes virtuales 27





Redes virtuales 28

Clave asimétrica

Características: Clave pública Cada participante posee una pareja de claves

(privada-pública)

Emisor Receptor

cifrado descifrado

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 29

Clave asimétricaAlgoritmos: Diffie-Hellman, RSA, DSA Requisitos:

Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada

Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída

Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa

Redes virtuales 30

Clave asimétrica

Objetivos cumplidos: Confidencialidad Integridad Autenticación

Ofrece mecanismos muy buenos No repudio

Ofrece mecanismos muy buenos

Redes virtuales 31

Clave asimétricaVentajas: No presenta problemas de distribución de

claves, ya que posee clave pública En caso de robo de clave privada de un usuario,

sólo se ven comprometidos los mensajes enviados a dicho usuario

Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos

Inconvenientes: Velocidad de ejecución de algoritmos

Redes virtuales 32

Clave asimétricaAutenticación: Desafio-respuesta Firma digital Certificado digital

No repudio: Firma digital Certificado digital

Redes virtuales 33

Clave asimétrica

Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada

Emisor Receptor

cifrado descifrado

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 34

Clave asimétrica

Firma digital: Verificar autenticidad del origen Partes

Proceso de firma (emisor) Proceso de verificación de la firma (receptor)

Emisor Receptor

firma verificación

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 35

Clave asimétrica

Firma digital: Problema: Lentitud del proceso Empleo de huella

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 36

Clave asimétricaFirma digital - Huella: Redución del tiempo de encriptado Función de hash

Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido

Irreversible Algoritmos SHA-1, MD5 Requisitos

Capacidad de convertir datos de longitud variable en bloque de longitud fija

Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas

Problema: Gestión de claves

Redes virtuales 37

Clave asimétricaCertificado digital: Unidad de información que contiene una pareja de claves

públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores

Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación

Es posible su revocación

Redes virtuales 38





Redes virtuales 39

Sistema mixto

Clave de sesión: Partes

Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptorClave de sesión

Redes virtuales 40

Sistema mixto

Clave de sesión: Partes

Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptorClave de sesión

Redes virtuales 41

Sistema mixto

Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio

Empleo de firmas y certificados digitales

Redes virtuales 42

Sistema mixtoVentajas: No presenta problemas de distribución de

claves, ya que posee clave pública Es improbable hacerse con la clave de sesión Puede emplear mecanismos de autenticación y

no repudio de clave pública Velocidad de ejecución de algoritmos

Redes virtuales 43





Redes virtuales 44

Redes privadas virtualesIntroducción: Interconexión de usuarios y entidades

Línea dedicada (intranets)Coste elevadoDificultad de mantenimiento

Uso de red de acceso públicoRiesgos de seguridad

LAN

Red pública

Redes virtuales 45

Redes privadas virtualesConcepto: VPN: Canal de datos privado implementado sobre red

de comunicaciones pública Objetivos:

Enlazar subredes remotas Enlazar subredes y usuarios remotos

Uso de túnel virtual con encriptación

LANTúnel virtual

Red pública

Redes virtuales 46

Redes privadas virtualesRequisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y

certificados digitales Soporte para múltiples protocolos

Redes virtuales 47

Redes privadas virtualesTipos: Sistemas basados en hardware

Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de intrusos,

antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security

Sistemas basados en software

Redes virtuales 48

Redes privadas virtualesVentajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos

Redes virtuales 49

Redes privadas virtualesElementos: Redes privadas o locales

LAN de acceso restringido con rango de IPs privadas Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)

Redes virtuales 50

Redes privadas virtualesEscenarios: Punto a punto LAN - LAN LAN – usuario remoto

LAN

LAN LAN

Redes virtuales 51





Redes virtuales 52

PPTPCaracterísticas: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com,

Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637)

Se emplea en acceso virtual seguro de usuarios remotos a red privada

Emplea mecanismo de túneles para envío de datos desde cliente a servidor

Usa red IP de carácter pública o privada

Redes virtuales 53

PPTPFuncionamiento: Servidor PPTP configurado para repartir IP de LAN

privada El servidor se comporta como un puente

LANUsuario remoto

67.187.11.25Servidor PPTP192.168.1.1

192.168.1.30 192.168.1.31

192.168.1.32192.168.1.100 - 120

Redes virtuales 54

PPTPFases: Establecimiento de la conexión PPP con ISP Control de la conexión PPTP

Conexión TCP Intercambio de mensajes de control

Transmisión de datos Protocolo GRE Cifrado

Redes virtuales 55

PPTPPPP: Protocolo punto a punto (RFC 1661)

Nivel de enlace Usado para conectar con ISP mediante una línea telefónica

(modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones:

Establecer, mantener y finalizar conexión pto-ptoAutenticar usuarios (PAP y CHAP)Crear tramas encriptadas

IP DatosPPP

Redes virtuales 56

PPTPControl conexión PPTP: Especifica una serie de mensajes de control:

PPTP_START_SESSION_REQUEST: inicio de sesión PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesión PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificación error PPTP_SET_LINK_INFO: configurar conexión cliente-

servidor PPTP_STOP_SESSION_REQUEST: finalización sesión PPTP_STOP_SESSION_REPLY: respuesta solicitud

finalización

Redes virtuales 57

PPTPAutenticación PPTP: Emplea los mismos mecanismos que PPP:

PAP (Password Authentication Protocol)Muy simple: envío de nombre y contraseña en claro

CHAP (Challenge Handshake Authentication Protocol)Mecanismo desafio-respuestaCliente genera una huella a partir del desafio recibido (MD5)Clave secreta compartidaEnvíos de desafios para revalidar identidad

Redes virtuales 58

PPTPAutenticación PPTP: Añade dos nuevos:

SPAP (Shiva Password Authentication Protocol)PAP con envío de contraseña cliente encriptada

MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Algoritmo propietario de Microsoft basado en CHAPProceso de autenticación mutuo (cliente y servidor)Debido a fallo de seguridad en Windows NT se creó

MS-CHAP v2

Redes virtuales 59

PPTPTransmisión de datos: Emplea modificación del protocolo GRE (Generic

Routing Encapsulation) RFC 1701 y 1702 Establece división funcional en tres protocolos:

Protocolo pasajeroProtocolo portadorProtocolo de transporte

Pasajero

PortadorTransporte

Redes virtuales 60

PPTPTransmisión de datos: Envío de tramas PPP encapsuladas en datagramas IP

GRE DatosPPPIPMedio

TCP DatosIP

Redes virtuales 61

PPTPEncriptación: MPPE (Microsoft Point-To-Point Encryption)

RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesión a partir de clave

privada de cliente Sólo con CHAP o MS-CHAP

Permite túneles sin cifrado (PAP o SPAP) -> No VPN

Redes virtuales 62

PPTPVentajas: Bajo coste de implementación (emplea red pública) No limitación del número de túneles debido a

interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel)

Inconvenientes: Altamente vulnerable

Control de la conexión TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE

Empleo de contraseña privada

Redes virtuales 63





Redes virtuales 64

L2TPCaracterísticas: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar

tramas PPP: PPTP L2F (Layer Two Forwarding)

Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)

Redes virtuales 65

L2TPFuncionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente

LAN

Usuario remoto

67.187.11.25

Servidor L2TP(LNS)192.168.1.1

192.168.1.31

192.168.1.32

192.168.1.100 - 120

ISP

LAC

Voluntario

Obligatorio

Redes virtuales 66

L2TPTipos de túneles: Obligatorio:

1) El usuario inicia conexión PPP con ISP

2) ISP acepta conexión y enlace PPP

3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS5) Si LNS acepta, LAC

encapsula PPP con L2TP y envía tramas

6) LNS acepta tramas y procesa como si fuesen PPP

7) LNS autentifica PPP validar usuario -> asigna IP

Voluntario:1) Usuario remoto posee

conexión con ISP2) Cliente L2TP inicia túnel

L2TP al LNS3) Si LNS acepta, LAC

encapsula con PPP y L2TP, y envía a través del túnel

4) LNS acepta tramas y procesa como si fuesen PPP

5) LNS autentifica PPP validar usuario -> asigna IP

Redes virtuales 67

L2TPMensajes: Dos tipos:

ControlEmpleados durante fase de establecimiento, mantenimiento y

finalización del túnelCanal de control confiable (garantiza su entrega)

DatosEncapsular la información en tramas PPPIntercambiados usando UDP puerto 1701

Redes virtuales 68

L2TPMensajes de control: Mantenimiento de conexión:

Start-Control-Connection-Request: inicio de sesión Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesión establecida Start-Control-Connection-Notification: finalización de

sesión Hello: mensaje enviado durante periodos de inactividad

Redes virtuales 69

L2TPMensajes de control: Mantenimiento de llamada:

Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada

saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada

entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalización de llamada

Redes virtuales 70

L2TPMensajes de control: Informe de errores:

WAN-Error-Notify: notificación de error Sesión de control PPP:

Set-Link-Info: configurar la conexión cliente-servidor

Redes virtuales 71

L2TPVentajas: Bajo coste de implementación Soporte multiprotocoloInconvenientes: Únicamente se identifican los dos extremos participantes en el

túnel (Posibles ataques de suplantación de identidad) No ofrece soporte para integridad (Posible ataque de

denegación de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no existe

mecanismo de generación automática de claves)

Redes virtuales 72





Redes virtuales 73

IPSecCaracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos

privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión

Redes virtuales 74

IPSecCaracteríticas: Servicios:

Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción

Modos de funcionamiento: Modo transporte Modo túnel

Redes virtuales 75

IPSecAsociación de seguridad: Definición (SA):

“Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos”

Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA

Redes virtuales 76

IPSecAsociación de seguridad: Ejemplo:

SPI: 12345Source IP: 200.168.1.100Dest IP: 193.68.2.23 Protocol: ESPEncryption algorithm: 3DES-cbcHMAC algorithm: MD5Encryption key: 0x7aeaca…HMAC key:0xc0291f…

Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE

Redes virtuales 77

IPSecProtocolo IKE: Protocolo de intercambio de claves en Internet (IKE) Protocolo definido en IETF

Gestión y administración de claves Establecimiento de SA

Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido:

ISAKMP (Internet Security Association and Key Management Protocol)

Define la sintaxis de los mensajesProcedimientos necesarios para establecimiento, negociación,

modificación y eliminación de SA Oakley

Especifica lógica para el intercambio seguro de claves

Redes virtuales 78

IPSecIKE – Negociación del túnel IPSec: Posee dos fases:

Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)

IKE SA distinta a IPSec SASe denomina ISAKMP SA

Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA

Usa ISAKMP para generar IPSec SAEl precursor ofrece todas sus posibilidades al otro con

prioridadesEl otro acepta la primera configuración que se adecue a sus

posibilidadesSe informan recíprocamente del tipo de tráfico

Redes virtuales 79

IPSecVentajas: Permite acceso remoto de forma segura y

transparente Facilita el comercio electrónico (infraestructura

segura para transacciones) Posibilita la construcción de red corporativa segura

(extranets) sobre redes públicas

Redes virtuales 80

IPSecProtocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)

Redes virtuales 81

IPSecProtocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados:

Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de

datos) HMAC (Hash Message Authentication Codes)

Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida

Redes virtuales 82

IPSecProtocolo AH: HMAC

Emisor

HMACIP AH DATOS

Receptor

HMACIP AH DATOS

Redes virtuales 83

IPSecProtocolo AH: Formato

Next header

Payloadlength

Reserved

Security Parameters Index (SPI)

Sequence number

Authentication data

Cabecera IP

Datos

Cabecera AH

32 bits

Redes virtuales 84

IPSecProtocolo AH: Formato:

Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable

Redes virtuales 85

IPSecProtocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados:

Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos)

Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de claves

(IKE)

Redes virtuales 86

IPSecProtocolo ESP:

Emisor

IP ESP DATOS

Receptor

IP ESP DATOSESP ESP

Redes virtuales 87

IPSecProtocolo ESP: Formato

Padding

Security Parameters Index (SPI)

Sequence number

Cabecera IP

Datos ESP

32 bits

Next header

Padlength

Authentication data

Encriptado

Redes virtuales 88

IPSecProtocolo ESP: Formato:

Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable

Redes virtuales 89

IPSecModos de funcionamiento: Aplicables tanto a AH como ESP

Modo transporte

con AH

Modotransporte

con ESP

Modo túnel

con AH

Modotúnel

con ESP

Más usado

Redes virtuales 90

IPSecModo transporte: Los datos se encapsulan en un datagrama AH o ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben

entender IPSec) Se emplea para conectar usuarios remotos

IP 1 DatosIPSecIP 2

IP 1 IP 2

Host con IPSec Host con IPSec

Redes virtuales 91

IPSecModo transporte:

AH: Next header = Protocol de cabecera IP

ESP: Next header = Protocol de cabecera IP

Encab.AH

DatosEncab.IP original

Autenticado

Encab.ESP


Cifrado

Autenticado

Redes virtuales 92

IPSecModo túnel: Los datos se encapsulan en un datagrama IP completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y el

extremo IPSec no coinciden (gateways)

IP A DatosIPSecIP B

Host sin IPSecgateway con IPSec gateway con IPSec

Host sin IPSec

IP 1

IP 2IP BIP A

IP 1IP 2

Redes virtuales 93

IPSecModo túnel:

AH: Protocol nueva cabecera IP = 51 y Next header = 4

ESP: Protocol nueva cabecera IP = 50 y Next header = 4

Encab.AH

DatosEncab.IP nuevo

Autenticado

Encab.ESP


Cifrado

Autenticado

Encab.IP original

Encab.IP original

Redes virtuales 94





Redes virtuales 9595

SSL: Secure Sockets Layer Protocolo de seguridad

ampliamente empleado Soportado por la gran mayoría de

navegadores y servidores web https Originalmente diseñado por

Netscape en 1993 Varias versiones:

TLS: transport layer security, RFC 2246

Proporciona Confidencialidad Integridad Autenticación

SSL proporciona una API a las aplicaciones

Hay disponibles librerías y clases para SSL en C y Java

Aplicación

SSL

TCP

IP

Aplicación con SSL

Redes virtuales 96

SSLEl proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características:

Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual

Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP

(1194 por defecto) Multiplataforma Permite usar compresión

Redes virtuales 97

SSLEl proyecto OpenVPN: Características:

Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores

gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts)


SSL: características generales

Negociación: uso de certificados y claves públicas y privadas para la autenticación mútua y el envío de claves secretas.

Deducción de claves: uso de claves secretas para conseguir un conjunto de claves

Transferencia de datos: Los datos transferidos se dividen en una serie de registros (records)

Cierre de la conexión: Mensajes especiales para cerrar la conexión de forma segura


SSL: negociación y deducción de claves

MS = master secret (clave secreta maestra)

EMS = encrypted master secret (clave secreta maestra encriptada)

SSL hello

certificate

KB+(MS) = EMS


Deducción de claves

Uso de diferentes claves para el Código de Autenticación del Mensaje (MAC) y la encriptación

Cuatro claves: Kc = clave de encriptación para los datos enviados del

cliente al servidor Mc = Clave MAC para los datos enviados del cliente al

servidor Ks = clave de encriptación para los datos enviados del

servidor al cliente Ms = Clave MAC para los datos enviados del servidor al

cliente Se toma MS y (a veces) algunos datos aleatorios

para crear las claves


Transferencia de datos y cierre SSL divide el flujo de datos en una serie de

registros (records) Cada registro lleva una MAC El Rx puede actuar sobre cada registro en cuanto llega

Long. Datos MAC

Nº de secuencia en el MAC: MAC = MAC(Mx, secuencia||datos) Nota: campo de número de secuencia

Uso de números aleatorios Tipos de registros, con un tipo para el cierre

tipo 0 para datos; tipo 1 para cierre


SSL: Formato de registrosTipo de

contenido Versión SSL Longitud

MAC

datos

1 byte 2 bytes 3 bytes

Los datos y el MAC están encriptados


handshake: ClientHello

handshake: ServerHello

handshake: Certificate

handshake: ServerHelloDone

handshake: ClientKeyExchangeChangeCipherSpechandshake: Finished

ChangeCipherSpec

handshake: Finished

application_data

application_data

Alert: warning, close_notify

Conexión real

Sigue un FIN en TCP

Todo desde aquí está encriptado

Redes virtuales 104





Redes virtuales 105

VLANIntroducción: Las LANs institucionales modernas suelen presentar

topología jerárquica Cada grupo de trabajo posee su propia LAN

conmutada Las LANs conmutadas pueden interconectarse entre

sí mediante una jerarquía de conmutadores

A

B

S1

C D

E

FS2

S4

S3

HI

G

Redes virtuales 106

VLANInconvenientes: Falta de aislamiento del tráfico

Tráfico de difusión Limitar tráfico por razones de seguridad y confidencialidad

Uso ineficiente de los conmutadores Gestión de los usuarios

Redes virtuales 107

VLANVLAN: VLAN basada en puertos

División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del

conmutador

A B C D E F G H I

Redes virtuales 108

VLANVLAN: ¿Cómo enviar información entre grupos?

Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados

mediante un router Normalmente los fabricantes incluyen en un único dispositivo

conmutador VLAN y router

A B C D E F G H I

Redes virtuales 109

VLANVLAN: Localización diferente

Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No escalable

A BC

D E FG HI

Redes virtuales 110

VLANVLAN: Localización diferente

Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q

A BC

D E FG HI

Enlace

troncal

Redes virtuales 111

VLANIEEE 802.1Q:

IEEE 802.3 (Ethernet)

IEEE 802.1Q

Dir.Destino

DatosPreambuloDir.Origen

Tipo CRC

Dir.Destino

DatosPreambuloDir.Origen

Tipo CRC nuevoTPID TCI

Información de control de etiquetado

Identificador de protocolo de etiquetado

Redes virtuales 112

VLANVLAN: VLAN basada en MAC (nivel 2)

El administrador de red crea grupos VLAN basados en rangos de direcciones MAC

El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado

VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)

tema 5: redes virtuales · redes virtuales 2 tema 5: redes virtuales 5.1 seguridad en redes 5.1.1...

Documents